数据管理系统及其方法

专利名称：数据管理系统及其方法
技术领域：
本发明通常涉及一种管理保密数据的安全系统及方法。特别是，本发明涉及一种用于管理数据，使得数据访问可控并确保数据保密性的系统及方法。
背景技术：
在一些行业，例如银行和保险业中，关于几种类型数据的准确统计结果是生死攸关的，或者至少对经济的成功是重要的。例如，对保险业来说保险统计员计算出来的图表是一种特别有价值的资源。在这种情况下，数据集合大到能够建立精确数据模型。此外，因为需要考虑的信息基本元素是不保密的，所以市场参与者之间的数据共享多少是普遍的。通常，描述这些数据的分布被称作″细尾(thin tail)″，它一般表示与大多数典型现象非常不同的现象是极少的。作为这些及其他允许更准确统计分析的特征的结果，保险费价格能被制定得既对客户有吸引力，也使保险公司有利可图。
相反，其它类型的数据(例如，操作风险数据)被认为敏感的，并且因此，很少被报告。通常，用于捕捉这些数据的分布有厚尾(也就是，异常多的极端现象)。″操作风险″与直接或间接损失风险有关，这些损失风险由不充分或者失败的内部处理，人员及系统，或者外部事件所导致。这种类型的风险通常与例如银行的机构需要保密的事件相关(例如，当有人攻击他们的系统，由于人或者机器的缘故导致交易没有完成，等等)。因此，希望因分享操作风险数据以提高重要统计质量而获益的公司不能达到目的，因为分享意味着保密性的破坏。
以前，曾经试图使用第三方来收集这些敏感的数据。但是，与第三方收集数据有关的问题与第三方的缺乏控制直接相关。特别地，第三方通常并未获得全部的必需数据。此外，在这些情况下的数据访问(例如，通过第三方的雇员)经常是不可控的。因此，保密的详细数据有被暴露的风险。
鉴于前述事实，需要一种用于管理保密数据，使得数据能够被分析并且仍然保密的安全系统及方法。而且，需要一种系统及方法，在其中数据访问仅仅限于被批准或者被授权的实体。还需要一种系统及方法，在其中已接收数据中的保密的详细数据能够容易地被识别和隐藏。另外还需要一种系统及方法，在其中不再秘密的保密详细数据能够被识别并披露。

发明内容
通常，本发明提供一种数据管理系统及方法。特别地，在本发明中，以随机产生的时间间隔从提供者处接收加密数据。一旦收到，数据被解密，且包含在其中的任何保密详细数据被识别和隐藏。于是数据为用于统计分析而被存储，只要数据的保密性没有被损害，所有的数据(包括保密数据)都可为统计分析而被访问。定期地，存储的数据通过识别并披露不再秘密的保密详细数据来更新。数据访问仅限于被标识为″已授权″的实体。因此，即使象系统所有者、管理员等这样的实体也不能进行访问。
根据本发明的第一方面，提供了一种数据管理系统。所述系统包括(1)将对数据管理系统的访问限制于授权实体的访问控制系统；(2)识别和隐藏已接收数据中的保密详细数据的数据保密系统；(3)存储已接收数据的数据存储系统；以及(4)检查存储的数据来识别并披露不再秘密的保密详细数据的数据更新系统。
根据本发明的第二方面，提供了一种数据管理系统。所述系统包括(1)将对数据管理系统的访问限制于授权实体的访问控制系统；(2)对操作风险数据进行接收和解密的数据解密系统；(3)识别和隐藏已接收数据中的保密详细数据的数据保密系统；(4)在保密详细数据被隐藏后存储已接收数据的数据存储系统；(5)检查存储的数据来识别并披露不再秘密的保密详细数据的数据更新系统；(6)为核准系统而对存储数据进行分析的程序核准系统；以及(7)用于保护加密密钥的密钥安全系统。
根据本发明的第三方面，提供一种数据管理方法。所述方法包括(1)以安全方式从授权提供者处接收数据；(2)识别并隐藏已接收数据中的保密详细数据；(3)存储已接收的数据；并且(4)通过识别并披露存储数据中不再秘密的详细数据来更新存储数据。
根据本发明的第四方面，提供一种存储于可记录介质上、用于管理数据的程序产品。运行时，所述程序产品包括(1)将对数据管理系统的访问限制于授权实体的访问控制系统；(2)识别并隐藏已接收数据中的保密详细数据的数据保密系统；(3)存储已接收数据的数据存储系统；以及(4)检查存储数据来识别并披露不再秘密的保密详细数据的数据更新系统。
因此，本发明提供了一种数据管理系统及方法。


通过下面联系附图对本发明各个方面的详细描述，将能更好地理解本发明的这些及其他特征，其中附图1表示了根据本发明的一种数据管理系统。
附图2表示了具有数据保护系统及数据分析系统的数据管理系统中的一种计算机系统。
附图3表示了附图2中的数据保护系统。
附图4表示了数据分析系统中的一种核准过程。
附图仅仅概括地表示本发明，而非意图表示其具体的参数。附图意图表示的仅仅是本发明的典型实施方案，且不因此认为是限制了本发明的保护范围。在附图中，相同编号表示相同元件。
具体实施例方式
通常，本发明提供一种数据管理系统及方法。如上文所述，在许多行业领域中数据共享是极其有益的。然而，某些类型的数据是敏感的并包含某个组织希望保密的详细数据。迄今为止，这妨碍了多个组织间的数据自由分享。已经知道的一种敏感数据为″操作风险″数据，它通常与由该组织本身内的故障所造成的损失风险有关(例如，由计算机被攻击所导致的损失)。在这种情况下，一个组织可能不但希望/需要制造其因操作风险而受到的损失，而且希望隐藏它自己的身份。为了市场利益，或是为了良好安全公众形象的保护，法律也要求对其他类型的数据保密。
存在一种涉及到敏感数据的情况，其中多个组织左右了(leverage)描述特定市场(这个市场被定义为条件的集合，在这些条件下市场参与者交换产品)的信息。市场信息的知识对所有人都是有用的，因为它允许个体们优化其交易。然而，这些信息常常包括那些需要保密的成分，因为没有人希望泄漏他们交易的特定条件。这种数据类型的例子包括(1)非现金流金融市场中的报价；(2)信贷定价信息；以及(3)保险索赔数据。
涉及到敏感数据的另一种情况是每个参与者与特定的行业组织一起左右了描述其他公司如何进行操作(包括他们制定的商业设想)来优化或者促进他们的经营或者贸易状况，或者在行业组织的情况下，来开发对本行业有利的规则或者业务的信息。这种数据类型的例子包括(1)作为操作或运营风险的结果所蒙受的损失，就如同前面所讨论过的；以及(2)可以公开得到或者访问的信息分析结果，例如保险业中使用的统计数据，银行和金融业中使用的扇形图表分析，公司和行业评级，等等。
本发明提供一种使组织可以报告这些及其他类型的敏感数据的方式，它使得保密的详细数据能被保密，而在一组成员内的所有方面都能对保密数据实行分析，只要分析结果通过不会破坏数据保密性的方式提供给请求方。本发明也对数据访问进行限制，使得只有″被批准″或者″被授权″的实体才能够进行访问(如同将要在下文中详细描述的那样)。需要注意的是，虽然本发明最好用于管理操作风险数据，但也能够管理任何类型的敏感数据。
现在参见附图1，其表示根据本发明的数据管理系统10。正如图中所表示的那样，数据管理系统10包括安全层13、计算机系统11以及数据库22。在一个典型实施例中，某些计算机系统11负责管理某些数据库22。特别是，一些计算机系统11可控制的是仅仅包含加密数据的数据库22，而另一些计算机系统11可控制的是那些具有加密或解密数据的数据库22。通常，计算机系统11是现场可编程的，物理及逻辑上安全的计算设备，例如IBM 4758 PCI密码协处理器。特别是，这样的系统11应该是防篡改，不可隐藏篡改(tamper evident)，对篡改敏感，对篡改有反应和可编程的。安全层13是防篡改，对篡改有反应，对篡改敏感和不可隐藏篡改的密码生成器可编程硬件(具有处理器或协处理器)。这就保证对数据管理系统10的访问仅限于授权实体。需要注意的是，附图1中所表示的仅仅是说明性的，而且计算机系统11及/或数据库22的数量是可变的。
现在参见附图2，其对数据管理系统10进行了更详细的表示。正如图中所表示的那样，数据管理系统10中包括计算机系统11(为使表示更清楚，仅仅表示出一个计算机系统11)，它通常包括存储器12，输入/输出(I/O)接口14，中央处理器(CPU)16，外部设备/资源18，总线20，以及数据库22。存储器12可包括任何已知类型的数据存储器及/或传输介质，包括磁性介质，光学介质，随机存取存储器(RAM)，只读存储器(ROM)，数据超高速缓存，数据对象，等等。而且，存储器12可放置在一个单独的物理位置上，包括一种或多种类型的数据存储器，或者是分布在各种形式的多个物理系统中。CPU 16可同样包括一个单独的处理单元，或者是分布在位于一处或者多处位置的一个或多个处理单元上，例如，在客户机和服务器上。输入/输出接口14可包括任何与外部信息源交换信息的系统。外部设备18可包括任何已知类型的外部设备，包括CRT，LED显示屏，手持设备，键盘，鼠标，语音识别系统，语音输出系统，打印机，传真系统，传呼机，个人数字助理，移动电话，网络电话，等等。总线20为计算机系统11中的每个部件之间提供通信链路，并且同样可包括任何已知类型的传输链路，包括电气的，光学的，无线的，等等。此外，虽然未被表示出，然而附加部件，例如超高速缓冲存储器，通信系统，系统软件等等也可并入计算机系统11中。
数据库22为实现本发明所必需的信息提供存储。这种信息尤其可以包括一个表格，其标识了(1)数据以及统计资料；(2)有关的保密法律；(3)控制保密性和数据验证的策略；(4)控制对数据管理系统10的访问的规则；以及(5)成员信息。如附图1所示，数据库22可包括一个或多个存储设备，例如磁盘驱动器或者光盘驱动器。在另一个实施例中，数据库22包括分布于例如局域网(LAN)，广域网WAN)或者存储区域网络(SAN)(未表示出)的数据。也可以如此来配置数据库22，使得本领域普通技术人员将其理解为包括一个或多个存储设备。
保存在存储器12中的是数据保护系统24和数据分析系统26。数据保护系统24包括用来保护提供者28提交并且请求者30所请求的数据的各种系统。参见附图3，其表示数据保护系统24的详图。正如所表示的那样，数据保护系统24包括(1)访问控制系统40；(2)数据解密系统42；(3)保密系统44；(4)数据存储系统46；(5)数据更新系统48；(6)数据验证系统50；(7)程序批准系统52；(8)密钥安全系统54；(9)备份和恢复系统56；以及(10)数据检索系统58。
数据由授权(成员)提供者28提交给数据管理系统10，并随后由数据解密系统42进行解密。无论提供者28是否被授权提交数据，访问控制系统40都能根据保存在数据库中的规则或者协议对数据进行验证。特别是，当试图提交数据时，访问控制系统40将首先验证提供者28有权提交数据(也就是，属于已被授权的提供者成员)。如果没有被授权，数据管理系统10将拒绝这些数据。通常，数据由被认可的提供者以随机时间间隔提交给数据管理系统10。特别是，由提供者28生成/创建的随机数将导致随机(或具有期望的内容)组成一个消息，而且消息被以加密的形式送往数据管理系统10。该消息将请求数据管理系统10要求所有提供者28都提交一条长度至少为L的消息。数据解密系统42将解密该消息，确定一个新的长度L′(至少等于L)，并向所有的提供者28发送一条消息，请求数据更新(新事件及/或前面数据的补充)。所有的提供者28于是向数据管理系统10发送长度L′的加密消息，数据解密系统42将解密该消息。一些消息可包含实际数据，而其它消息可以是空的，以帮助阻止窃听。
如同下面更详细描述的，所有在提供者28和数据管理系统10之间的通信都是安全的(以及在请求者30和数据管理系统10之间的通信)。在这个限度下，能使用传送数据的私人线路或信使(courier)，以及诸如因特网的公共系统。无论是这样还是那样，都应该提供防止业务传输分析的协议。此外，通信最好被加密来防止窃听及其他攻击。以及，为了使与统计分布之间的偏差不被发现，提供者28可以延迟提交数据，直至他们下次随机提供消息。该过程还可以进行修改，以便在发送关于长度L′的消息时，任何提供者28可以嵌入针对另一轮不同长度的数据提交的请求。更进一步的修改允许提供者28请求附加的长度L″，在这里L″可随机决定。
由每个提供者28提交的数据(也就是，以L′的长度)最好有特定的格式(例如，XML)。下面表示了一个关于数据消息的例子S提供者名称AN事件标识号(为提供者″A″所知，以便根据需要得到进一步的信息流)T事件的日期T事件的位置(或位置列表)N事件的性质(例如通过下述一个数字或数字集合来指定)N事件是基本的，还是另一事件或事件链的结果？N涉及的设备(例如通过下述的数字集合来指定)T所有涉及到的设备的部分的品牌和名称N在事件和发现之间经过的时间T由此事件导致的事件链T缓和(mitigation)说明(例如通过下述一个数字或数字集合来指定)N与事件相关联的估计成本T与该事件所属的事件链相关联的估计成本。
在这个实例中，″S″意味着数据是保密的，″T″意味着数据是如下所述暂时保密及/或保密的，″N″意味着该数据不是保密的。所有的数据(保密的或者不保密的)都可被数据分析系统26访问来实行分析以及准备报告。事件的性质可以依据数字来指定，该数字使得事件的集合可以通过赋予数字来排列。随着时间的推移，更好的理解能产生更精细的分割，使得关于数字的串或列表能标明事件。同样，事件可以分组，并且分组的组还可以分组，等等，使得事件被它们自己、它们的组，等等所标明。这为不同的统计分析提供了若干层次的分辨率。
与任何事件相关的设备可以通过分层的数字分组来标明，或者等价地，通过树来标明。事件缓和(event mitigation)还可以有利地通过数字序列来标明，数字序列将逐渐越来越准确地对其进行标明。
当数据被接收时，数据解密系统42将解密这些数据，并且保密系统44将识别并隐藏所有保密的详细数据。这通常通过分析数据以及保护/加密任何标记为″S″或者″T″的数据来完成。一个关于保密详细数据的实例可以是，一个菲律宾小城市的银行被报告遭到黑客攻击。如果这所城市只有一个银行，这所城市的名称会被保密，以便这家银行的身份不被知道。抛开这种隐藏，这些详细数据仍然会被用于统计建模，只要它们的保密性没有被损害。例如，如果收集的统计资料与菲律宾的银行遭受的黑客攻击有关，其城市被隐藏的银行的数据(例如，金融损失)将在不损害这些隐藏的详细数据的保密性的情况下被考虑。这些隐藏的详细数据可能被用于一些情况下，例如，如果所请求的统计是关于小城市的事件，并且有事件与几个小城市有关，则城市的名称将被用来确定相关数据必须被考虑，但是城市的名称不会被泄露。虽然此类数据至少保持暂时保密，然而它也可能在一些报告中被不会暴露这家银行的身份的较不精确的数据或者其它必须保密的信息所代替。例如，可以使用银行的地区位置(例如，整个菲律宾)，直到形成了足够的本地银行，使得城市名称的暴露不会使一家特定银行的身份暴露。
除了由提供者28用″S″或者″T″(或者用类似的标志)标明之外，可以根据国内的政策及/或法律识别保密的详细数据。例如，地方法律或者国内政策可能要求对一定的详细数据保密。在这种情况下，保密系统44将会隐藏这些详细数据。本发明的保密性保护的意图是使得没有一个缺乏授权的实体(包括例如，系统管理员或者所有者)能够访问这些保密数据。这种保护延伸至涉及破坏仪器、利用任何已知的方法中断保密和密码等情况。在本发明下，或者秘密对于实时技术攻击是绝对的(当技术进步时数据将被重新加密和销毁)，或者是在一些许可证中描述的用于访问一些数据的密钥被提供给政府或者管理主体的代理(根据所有安全方式的众所周知的实践，几个代理可能需要一起行动来保证更好的安全性)。
一旦隐藏了任何保密的详细数据，数据存储系统46将把这些数据存储进数据库22。其后，数据更新系统48将周期性地更新这些存储数据。数据更新既包括用新数据增大数据，也包括减少数据。至于后一种方式，一些作为保密数据来隐藏的详细数据可能不再是保密的。在这种情况下，数据更新系统将识别并披露那些不再保密的详细数据。这种类型的数据在前面被称作秘密或者暂时秘密。一个这样的实例是，当菲律宾的该城市的银行数目超过了某个阈值(例如，由系统策略确定)时，这个城市的名称可能不再是保密的。为了准确，数据还可以通过数据更新系统48更新，并且也被完成，因为对事件更好的理解批露了以前未曾提供的有关事实。例如，事件的成本及/或原因可能需要时间来明确确定。所有这些更新(无论关于新事实与否)将通过使用事件标识号容易地与合适的事件相联系。
数据验证系统50验证来自提供者28的数据的准确性。特别是，难以基于虚假数据提取准确的统计，并且虚假数据是没有用的。因此，本发明提供一种认真阻止有意不精确的数据的机制。一种这样的机制是实行数据及/或提供者28的定点或者随机抽查。例如，数据验证系统50可以将一个随机整数N(A，k)与任一提供者″A″相关联，其中N(A，k)最多等于时间段T的第K次期满的某个上界UB，因此N(A，k)[时间(k-1)T和kT之间的UB。
例如，T可以是一年或者一刻钟。然后，在kT时间，由提供者″A″报告的N(A，k)事件被随机选择，而代理(很可能来自一些管理主体)被给予提供者″A″报告的关于这些事件的数据，并且可以进行任何必要的查询。一部分防止虚假数据的保护可以在数据验证系统50中通过事件的自动检测和报告来完成。在这种情况下，检测器和通信装置应该是防篡改的，不可隐藏篡改的，对篡改敏感的，和对篡改有反应的。在一些行业中，数据池的参与者可能更喜欢期望所有的其它参与者会以诚意善良方式行事，而不是如上所述置于甚至是有限的控制下。
程序批准系统52授权使用数据分析系统26来分析由数据管理系统10收集的数据。尤其是，如附图1中所示，计算机系统11可以提供有能够操作所提供的数据的软件程序(也就是，数据分析系统)。然而，在特定的系统26可以实施之前，会需要许可。在附图4所示的典型实施例中，专家组100可以创建新的数据分析系统26。这个数据分析系统26在成员实体100A-F之中流转，并且每一个成员实体签署一个数据分析系统26的严格定义的散列(hash)。具有全体成员签名的数据分析系统26于是被送往数据管理系统10，在那里在数据分析系统26被接受之前所有的签名都要被检查。针对现有程序的动作的请求将同样携带全部需要的签名。在一些情况下，这种请求的副本将被所有能够任意请求相应分析的成员保留，并且对其他成员保密。在其它情况下，全体或者部分成员必须在查询开始前，或者一旦任何查询没有实际使用时间的控制，对查询进行签名。签名的有效性及其授权等级用一种例如Tivoli Policy Director的工具来检查。
在一些情况下，建议的数据分析系统可能会提供低价值结果，因为它实行分析及/或提交分析结果的方式损害了数据的保密性。在这种情况下，将用″假的″数据来测试数据分析系统的策略变化和修改的组合，直到达到一个保持所要请求的保密性，但数据分析系统能提供有用信息的阈值。
如上所述，对数据管理系统10的访问由访问控制系统40控制(图3)。特别是，访问控制系统40确保只有授权实体才可以和系统10交互。在一个典型的实施例中，能够提供不同等级的实体，就如同内部的规则所控制的那样。例如，非成员实体(也就是，系统所有者或者管理员)可能只允许管理数据管理系统10而不能访问分析报告或者数据。此外，一部分成员实体(例如，提供者成员或者请求者成员)可能只能访问以提供数据或请求数据分析。可选地，一些实体可具有访问数据管理系统10的″完全的成员权限″，借此这些成员可以与系统10的所有方面进行交互。通常，只有全权成员可以确定一个特定的数据分析系统26是否能够在数据管理系统10上实施。在本发明的一个实施例中，没有实体(成员或者非成员)可以自己访问数据。在另一个实施例中，只有经过特别许可的实体才能够访问数据。在又一个实施例中，只有政府或者管理机构的代理能够通过特别的密钥(如下文中将要进一步描述的那样)访问这些数据。在这种情况下，为使访问被批准，几个代理需要行动一致。可选地，为使访问被批准，代理需要依据许可证采取行动。
数据保护系统24同样被提供了密钥安全系统54，密钥安全系统54保护那些用于从提供者28处接收的数据的加密/解密密钥，以及用于隐藏接收数据中的保密详细数据的密钥。在一个典型的实施例中，当系统10被损害时，密钥安全系统54将破坏所有的密钥。这种功能由诸如IBM 4758这样的反应式系统提供，并且能增加用于监督的附加设备和破坏机器的装置。
如果系统10出现故障，备份和恢复系统56使数据完整无损。此外，备份和恢复系统56提供冗余，使得在局部攻击或者故障后不久，初始安全等级能被恢复(如同下文中进一步描述的那样)。所有维护密钥以及阻止任何不受欢迎的数据访问的安全硬件最好被放入多个复本中，被分布在彼此足够远离的各个位置，并防止整体的破坏。一种提供上述冗余的方法是使得一系列诸如IBM 4758的机器使用其机器生成的主密钥彼此识别为未破坏的机器，并且集中确定用于其它操作的公共实际主密钥。这可以通过随机选择一个主机，或者通过使用一种诸如Diffie-Hellman会话的系统来完成。这个使用安全机器的系统还可以为政府的代理或者管理主体(如上所述)提供访问密钥。通常，这种访问需要必须同时激活的多个密钥。许多情况可被用于产生这种特殊访问密钥。例如，可以一次将密钥给予适当的代理，或者代理可以请求一部分最低数量的参与者被授权来访问系统10或者数据(例如，如果签发许可证)。总的来说，这些及其他密钥方法可用来控制对数据管理系统10及存储于其中的数据的访问。总之，对防篡改的，不可隐藏篡改的，对篡改敏感的，对篡改有反应的(当检测到攻击时删除其密钥)和可编程的安全方式机器的使用能确保数据的保密性。
数据检索系统58为请求者30访问所存储及/或分析的数据提供一种机制。特别是，数据检索系统58为请求者30访问数据分析系统26或其结果以得到信息(例如，数据，统计资料，等等)提供一种方式。然而如上所述，对数据分析系统26的访问被访问控制系统40限制于授权的请求者。一个被批准的请求者30的实例可以是一个成为导致利润损失的事件的受害者的组织。在这种事件中，请求者30可以访问数据来识别可能减少损失的解决办法。这种解决办法可以包括，例如，体制的，技术的，及/或金融的解决办法。例如，请求者30可以得到一个有资格的修理人员的列表。
应当理解，数据保护系统24的所有系统40-58可以被实现为硬件，软件，人力，或者其任何组合。
回头参见附图1，与数据管理系统10之间的通信通过通信链路32进行。通信链路32可以包括连接到数据管理系统10的直接终端，或者在客户-服务器环境里的远程工作站。在后者的情况下，客户机和服务器可通过因特网，广域网(WAN)，局域网(LAN)或其它专用网连接。服务器和客户机可应用惯用的令牌环网连接，以太网，或其它惯用的通信标准。当客户机通过因特网连接到系统服务器时，可通过惯用的基于TCP/IP套接字的协议提供连接。在这种情况下，客户机将利用系统外的因特网服务供应商来建立针对系统中的系统服务器的连接。
显然，本发明可以通过硬件，软件，或硬件和软件组合的方式来实现。而且，根据本发明的计算机系统11可在单一计算机工作站以集中的方式实现，或以分布式方式实现，其中不同单元如附图2中所示(例如，网络)那样分布在若干互连的系统中。任何类型的计算机/一个或多个服务器系统——或者其它适合于实现这里所描述的方法的装置——都是合适的。典型的硬件与软件的组合方式可以是具有计算机程序的通用计算机系统，当加载计算机程序并执行时，它控制计算机系统11实施这里所描述的方法。可选地，包含用于实现本发明的一个或多个功能任务的专门硬件的专用计算机也可使用。本发明也可以被嵌入到计算机程序产品里，产品中包括能执行这里所描述方法的所有特征——当该产品被载入计算机系统中——能实现这些方法。一组指令中的计算机程序、软件程序、程序、或者软件，在本文中意味着可用任何语言、代码或者符号的表达，意图使系统具有信息处理功能，以直接或间接，以下述两方式之一或者共同(a)转化为其他语言，代码或者符号；及/或(b)以一种不同的物质形式再现，来实现特定的功能。
在上文中，详述了涉及敏感数据的两种情况。第三种情况涉及法律、规则或实践直接或间接地防止信息单元和提供者身份间的联系被披露的情况。这种情况的例子包括(1)要求实体在各种活动之间维护″万里长城″；以及(2)国家禁止涉及公司或客户的信息输出到其领土之外。
考虑第一个实例，关于″万里长城″的策略/要求可能会重新制定(基于本发明的益处)，为的是在本发明之下允许数据被发掘利用，及允许通过商业单位发送对应于适当行业的商业计划建议(不必通知代理如何决定制定建议)。特别是，自动客户关系管理(CRM)工具能够在实体的″万里长城″内运行，并且在做出任何结论前验证实体是否为这些系统所允许。对于验证，已被清除所有人员信息的案卷(case)将由系统提供给对系统的高效运行负责的代理。
另外，计数器可用于限制CRM工具可为任何实体制订的商业结论及计划的数量。实体进行某种分析的动机可能是某一特定个体通过多个行业留下的多个记录会被发现属于同一个人。作为发自几个行业的结果，此人只被编址一次，在类似但是不相同活动的情况下，可执行一种选择来确保该个体不被掩没。
考虑第二个实例，在本发明之下机密数据决不会泄密的事实可允许管理者相应地修改规则。例如，″X″国家的银行可因来自其它国家的关于商家对商家(B2B)交易中的操作风险的数据而受益，在他们没有参与到数据池中时是不能访问这些数据的。本发明可提供修改经B2B交易参与者同意的规则的动机，其中在保证他们希望保密的数据仍可保密的情况下，这些交易参与者将因此而得到更好的服务。
因此，本发明允许对可能稀少但仍然保密的数据进行数据分析。这种分析允许通过开发关于保护、诊断方法、修正工具、方法以及专家的数据并使之可用来缓和操作风险。这就使事件的成员受害者能访问那些可能包括体制的，技术的，金融的(例如新型的保险策略)等等解决办法。
例如，可以访问具有合适资格的专业修复人员/修复组织列表。在这个实例中，本发明可引入修复组织的评级而不必损害先前约定的保密详细数据。
此外，本发明也允许在例如城市、州、国家或者更高的层次上建立基础设施的备份，来确保企业对于大规模的自然的，意外的，或者罪犯事件的全面恢复力。因此，本发明可以是用来建立基本要素的必要工具，这些基本要素允许某企业具有全面恢复力，其中这种企业的数据和方法需要有某种等级的保密。本发明在不破坏保密性的情况下允许数据共享的事实，也将允许控制机关，或共同分配基金组织来为市场的全局基础设施的冗余部分投资。
为了例证和说明起见，已经提交了前述的本发明说明书。它并未穷举或者将本发明限制在所述的确切的形式，并且显然，还可能有许多修改和变化。这种对所属技术领域技术人员是显而易见的修改和变化，正如所附的权利要求书所写的那样，被包含在本发明的保护范围之内。
权利要求
1.一种数据管理系统，包括用于将对数据管理系统的访问限制于授权实体的访问控制系统；用于识别和隐藏已接收数据中的保密详细数据的数据保密系统；用于存储已接收数据的数据存储系统；以及用于检查已存储数据来识别和批露非保密详细数据的数据更新系统。
2.如权利要求1所述的数据管理系统，还包括用于解密已接收数据的数据解密系统；用于验证已接收数据的准确性的数据验证系统；用于批准系统对已存储数据进行分析的程序批准系统；以及用于保护加密密钥的密钥安全系统。
3.如权利要求1所述的数据管理系统，其中已存储的数据通过数据分析系统来分析。
4.如权利要求3所述的数据管理系统，其中基于数据管理系统的全权成员的批准，允许数据分析系统对已存储数据进行分析。
5.如权利要求1所述的数据管理系统，其中数据管理系统是一种防篡改的，不可隐藏篡改的，对篡改敏感的，对篡改有反应的和可编程的系统。
6.如权利要求1所述的数据管理系统，其中所接收和存储的数据是操作风险数据。
7.如权利要求1所述的数据管理系统，其中系统缓和操作风险。
8.如权利要求1所述的数据管理系统，其中基于随机产生的时间间隔接收数据。
9.如权利要求1所述的数据管理系统，其中保密详细数据不能被任何实体访问。
10.如权利要求1所述的数据管理系统，其中保密详细数据只能被行动一致的多个实体访问。
11.如权利要求1所述的数据管理系统，还包括用于验证实体策略的客户关系管理工具。
12.一种数据管理系统，包括用于将对数据管理系统的访问限制于授权实体的访问控制系统；用于接收和解密操作风险数据的数据解密系统；用于识别并隐藏已接收数据中的保密详细数据的数据保密系统；用于在保密详细数据已经被隐藏之后存储已接收数据的数据存储系统；用于检查已存储数据来识别和披露非保密详细数据的数据更新系统；用于批准系统对已存储数据进行分析的程序批准系统；以及用于保护加密密钥的密钥安全系统。
13.如权利要求12所述的数据管理系统，其中所存储的数据由数据分析系统来分析。
14.如权利要求13所述的数据管理系统，其中基于数据管理系统的全权成员的批准，程序批准系统允许数据分析系统分析所存储的数据。
15.如权利要求12所述的数据管理系统，其中提供者向数据管理系统提交操作风险数据，且请求者访问已存储数据。
16.一种数据管理方法，包括以安全的方式接收来自经授权提供者的数据；识别并隐藏已接收数据中的保密详细数据；存储已接收数据；和通过识别并披露已存储数据中的非保密详细数据来更新已存储数据。
17.如权利要求16所述的数据管理方法，还包括在识别步骤之前，解密已接收数据；验证已接收数据的准确性；批准一系统分析已存储数据；和保护加密密钥。
18.如权利要求16所述的数据管理方法，还包括通过数据分析系统对已存储数据进行分析。
19.如权利要求18所述的数据管理方法，还包括基于全权成员的批准，批准数据分析系统。
20.一种存储在可记录介质上的程序产品，当其被运行时用于管理数据，包括用于将对数据管理系统的访问限制于授权实体的访问控制系统；用于识别并隐藏已接收数据中的保密详细数据的数据保密系统；用于存储已接收数据的数据存储系统； 以及用于检查已存储数据来识别和披露非保密详细数据的数据更新系统。
21.如权利要求20所述的程序产品，还包括用于解密已接收数据的数据解密系统；用于验证已接收数据的准确性的数据验证系统；用于批准系统对已存储数据进行分析的程序批准系统；以及用于保护加密密钥的密钥安全系统。
22.如权利要求20所述的程序产品，还包括用于分析已存储数据的数据分析系统。
23.如权利要求20所述的程序产品，其中数据分析系统由全权成员批准。
24.如权利要求20所述的程序产品，其中所接收的数据是操作风险数据。
全文摘要
提供一种数据管理系统及其方法。特别是，本发明包括一种用来控制数据访问以及确保所维护数据的保密性的系统。此外，本发明提供一种用于数据更新，使得不再秘密的保密数据能够被识别和披露的系统。
文档编号G06F12/00GK1585918SQ02822454
公开日2005年2月23日 申请日期2002年10月28日 优先权日2001年11月16日
发明者罗纳德·皮雷兹, 迈克尔·舒伯, 查尔斯·特雷瑟, 弗朗西斯·拉坎 申请人:国际商业机器公司